趋势
网络技术的发展正在改变人们的生活,但在人们享受其带来的巨大的进步与利益同时,潜伏着的巨大的安全威胁也随之而来。在我国,随着金字工程、政府网、电子商务、电子政务、军事信息化等国家信息化建设的发展,网络已经成为了国家的重要基础设施,而这些关键行业的信息化建设也不可避免的面临着信息安全威胁的挑战。
需求
某公司是国有大型企业,下属14个分公司及190多个分支机构。在信息化迅速发展的形势下,该公司正在积极地进行网络信息系统的建设,计划建设一个包含总公司、分公司和分支机构直属库的多级计算机网络系统。该系统划分为总公司主控中心为一级网络结构,分公司网络管理系统为二级网络结构和分支机构网络管理系统为三级网络结构。在其系统的设计中,对系统的高可靠性、可用性、性能和互联都做了充分的考虑。目前网络已经完成了总公司的核心网络主控中心建设及分公司与总公司内部广域网建设,总公司和各分公司之间采用DDN或拨号等方式进行互连。
由于该公司计算机网络系统的内容涉及国家安全,某些数据属机密,在网络安全的考虑上,必须完整而细致。为了进一步提高网络安全性,达到建设一个完整、安全和高效的信息系统的目标,网络安全问题已经成为了急需解决的问题。因此,该公司决定搭建一套专门的网络和信息安全管理系统。经过慎重的调研与筛选,鉴于在整体网络安全领域的领先地位,成熟的产品与丰富的实施及服务经验,最终选择了北京冠群金辰软件有限公司作为此次的解决方案提供及实施厂商。
把脉
在信息安全管理系统搭建之前,考虑到该公司目前已经在网络安全设计上采取了一些比较初步的措施,并且顾及到其进行整体网络建设的步骤与保护投资等问题,冠群金辰首先对其网络中的存在安全问题及隐患进行了细致的分析,以保证提供方案的针对性与高效性:
首先,该公司现在的业务系统大多是基于客户/服务器模式和Internet/Intranet网络计算模式的分布式应用,用户、程序和数据可能分布在世界的各个角落。在这样一个分布式应用的环境中,公司的数据库服务器、电子邮件服务器、WWW服务器、文件服务器、应用服务器等等每一个都是一个供人出入的“门户”,只要有一个“门户”没有完全保护好-忘了上锁或不很牢固,“黑客”就会通过这道门进入系统,窃取或破坏所有系统资源。
其次,目前某公司的网络主要采用TCP/IP作为网络通讯协议,主要服务器为Windows NT操作系统。众所周知,TCP/IP是以开放性著称的。系统之间易于互联和共享信息的设计思路贯穿与系统的方方面面,对访问控制、用户验证授权、实时和事后审计等安全内容考虑较少,只实现了基本安全控制功能,实现时还存在一些这样那样的漏洞。实际上,从TCP/IP的网络层,人们很难区分合法信息流和入侵数据,DoS(Denial of Services,拒绝服务)就是其中明显的例子。
再次,在某公司中存在着多种应用,包括WWW、邮件系统、数据库系统等等。这些系统都存一些安全问题。从应用系统(软件)情况看,目前大多数业务系统,使用单机处理财务、统计、人事和文档等工作。近期将应用统计、财务、人事等独立的小型数据库软件。利用HTTP服务器的一些漏洞,特别是在大量使用服务器脚本的系统上,利用这些可执行的脚本程序,入侵者可以很容易的获得系统的控制权。同时,该公司的数据库系统也存在很多安全问题。如何保证和加强数据库系统的安全性和保密性对于此公司的正常、安全运行至关重要。
此外,虽然某公司当前也对安全问题也做了一定的考虑,并设计了防火墙系统,但是鉴于当前IT系统安全性的严重状况,这些考虑还是比较朴素和初步的,并没有形成一套完整的防护体系。
设计
根据该公司网络系统中存在的安全需求,冠群金辰软件公司针对其网络系统架构的特点,提出了构建从边界防护、传输层防护,到核心主机防护的深层防御体系的解决方案,以确保其网络系统的安全。根据其建设进度安排,首期将主要部署网络防病毒体系。
经过了解,该公司的网络系统是建立在总公司、分公司、各直属库等基础上的多级分布式网络系统,其网络构成包括Unix\NT服务器、邮件服务器、Windows95/98等联网客户机等。
因为病毒在网络中存储、传播、感染的方式各异且途径多种多样,因此在构建企业网络防病毒系统时,可以通过KILL建立完整的防病毒体系,实施“层层设防、集中控制、以防为主、防杀结合”的防病毒策略。根据其网络结构,冠群金辰公司将其病毒防护体系的部署重点分为了以下几个方面:PC机防护、实时保护文件/数据库服务器、实时防护邮件服务器、实时Internet网关的防护、在关键网段部署入侵检测系统、保护核心数据安全。具体的架构及产品在网络中的部署分布如下:
在防毒体系的设计中,冠群金辰公司在北京总公司安装了一台KILL反病毒管理服务器作为全国网络防毒安全管理中心。在各级分公司各安装了一台KILL反病毒管理服务器作为二级防毒安全管理中心。在其全国190多个分支机构库中, 则可根据规模和实际管理需要, 安装KILL反病毒管理服务器作为第三级网络防毒安全管理中心,并在各地相应的管理员工作站上安装管理员客户端。管理员可以直接通过管理员客户端登录到管理服务器进行远程策略配置分发等管理工作。在网络中其他服务器和客户端上分别安装客户端产品, 客户端所有的查杀病毒配置都可以从管理服务器分发获得。这样在整个企业网中就形成了一个三级集中管理结构:第一级:北京总部的管理服务器负责总部网络防毒策略的制定分发和信息收集, 同时负责二级管理服务器群的策略制定。 总部服务器负责从冠群金辰网站上下载病毒库和杀毒引擎升级代码, 向总部网络和二级管理中心提供升级服务。
第二级:二级管理服务器负责各分公司网络和分支机构的防毒策略制定和分发, 同时负责向下属的没有设置管理中心的分支机构分发安全策略和升级代码。
第三级:三级管理服务器负责自己网络的客户端的安全策略的制定和分发。
根据需要,上级管理员可以直接登录到下级管理控制中心进行安全策略检查和配置。
通过这样的部署,可以帮助该公司在网络中所有可能感染和传播病毒的地方均采取相应的防范手段,从而形成一个完整的网络防毒体系。此外,该防毒体系的策略设置是通过中央管理台集中设置的。管理员可以集中制定适用于网络的所有防毒策略, 然后分别部署到各个组中去, KILL的集中管理功能可以使管理员能够通过一台管理服务器完成对网络中的所有机器的集中配置,在客户端实现零管理。
无忧
防毒体系采用了全平台统一的杀毒界面,所有操作采用微软资源管理器风格,操作简单易用。具备安装后不需要重新启动,自动实时升级不需要用户干预和重新启动等特性。最大程度上降低了用户对客户端的手工操作。此外,充分考虑到在该公司这样一个大的企业网络中存在各种不同的操作平台和应用系统,接入网络的计算机设备也多种多样,KILL防病毒产品对全平台的支持和对资源的极少占用的特点可以使用户在最大程度上保持自己原有的配置不变,而且版本的向下兼容与集成管理能够在最大限度上保护用户已有的投资。
目前,该防毒体系已经在某公司投入使用,从各个环节增强了其网络系统对于病毒的免疫力,从而为有效的确保了该公司信息系统的高可靠性、可用性及高性能。